【文章內容簡介】 人身安全；— 出現(xiàn)問題后可能造成其他嚴重危害。 在分類信息和業(yè)務的基礎上，綜合平衡采用云計算服務后的效益和風險，確定優(yōu)先部署到云計算環(huán)境的信息和業(yè)務，如圖2所示。a) 承載公開信息的一般業(yè)務可優(yōu)先采用包括公有云在內的云計算服務，尤其是那些利用率較低、維護和升級成本較高、與其他系統(tǒng)關聯(lián)度低的業(yè)務應優(yōu)先考慮采用社會化的云計算服務。b) 承載敏感信息的一般業(yè)務和重要業(yè)務，以及承載公開信息的重要業(yè)務也可采用云計算服務，但宜采用安全特性較好的私有云或社區(qū)云。c) 關鍵業(yè)務系統(tǒng)暫不宜采用社會化的云計算服務，但可考慮采用場內私有云（自有私有云）。圖 Error! Main Document Only. 采用云計算服務的優(yōu)先級圖 Error! Main Document Only.所有的客戶信息都應該得到適當的保護。對于公開信息主要是防篡改、防丟失，對于敏感信息還要防止未經授權披露、丟失、濫用、篡改和銷毀。所有的業(yè)務都應得到適當保護，保證業(yè)務的安全性和持續(xù)性。不同類型的信息和業(yè)務對安全保護有著不同的要求，客戶應該要求云服務商根據信息和業(yè)務的安全需求提供相應強度的安全保護，如圖3所示。圖 3 安全保護要求對云計算平臺的安全保護能力要求如下： a) 承載公開信息的一般業(yè)務需要一般安全保護；b) 承載敏感信息的一般業(yè)務和重要業(yè)務需要增強安全保護，以及承載公開信息的重要業(yè)務需要增強安全保護。關于一般安全保護和增強安全保護的具體指標要求，見GB/T31168—2014。 需求分析 概述客戶應從以下方面對云計算服務的需求進行分析，提出各項功能、性能及安全要求。 服務模式云計算有SaaS、PaaS和IaaS三種主要服務模式。不同服務模式下云服務商與客戶的控制范圍不同，如圖4所示，圖中兩側的箭頭示意了云服務商和客戶的控制范圍，具體為：a) 在SaaS模式下，應用軟件層的安全措施由客戶和云服務商分擔，其他安全措施由云服務商實施。b) 在PaaS模式下，軟件平臺層的安全措施由客戶和云服務商分擔?？蛻糌撠熥约洪_發(fā)和部署的應用及其運行環(huán)境的安全，其他安全措施由云服務商實施。c) 在IaaS模式下，虛擬化計算資源層的安全措施由客戶和云服務商分擔。客戶負責自己部署的操作系統(tǒng)、運行環(huán)境和應用的安全。云服務商負責虛擬機監(jiān)視器及底層資源的安全。圖4中的下三層由設施層、硬件層和資源抽象控制層構成。設施層和硬件層是云計算環(huán)境的物理 元素，設施層主要包括采暖、通風、空調、電力和通信等，硬件層包括了所有的物理計算資源，例如：服務 器、網絡(路由器、防火墻、交換機、網絡連接和接口）、存儲部件(硬盤）和其他物理計算元件。資源抽象 控制層通過虛擬化或其他軟件技術實現(xiàn)對物理計算資源的軟件抽象，基于資源分配、訪問控制、使用監(jiān) 視等軟件組件實現(xiàn)資源的訪問控制。在所有服務模式下，這三層均處于云服務商的完全控制下，所有安全措施由云服務商實施。圖4中的上三層由應用軟件層、軟件平臺層、虛擬化計算資源層構成云計算環(huán)境的邏輯元素。虛擬 化計算資源層通過服務接口，使客戶可以訪問虛擬機、虛擬存儲、虛擬網絡等計算資源。軟件平臺層向 客戶提供編譯器、函數庫、工具、中間件以及其他用于應用開發(fā)和部署的軟件工具與組件。應用軟件層向客戶提供業(yè)務系統(tǒng)需要的應用軟件，客戶通過客戶端或程序接口訪問這些應用軟件。客戶可根據不同服務模式的特點和自身數據及業(yè)務系統(tǒng)的安全管理要求，結合自身的技術能力、市場及技術成熟度等因素選擇服務模式。圖 4 服務模式與控制范圍的關系 部署模式云計算有公有云、社區(qū)云和私有云三種典型部署模式，不同的部署模式下，云計算基礎設施部署的 場所、客戶訪問云計算服務的網絡鏈路、是否與其他客戶共享資源等屬性有較大差異，客戶需要綜合分析部署模式對自身數據和業(yè)務的影響。不同部署模式下關注的主要問題包括：a) 是否與其他客戶共享云計算平臺。公有云是云服務商面向社會提供的服務，客戶需要與其他 未知客戶共享云計算平臺，安全風險相對較大；社區(qū)云中的客戶群體具有共同責任、相同安全 需求、相同策略等屬性，客戶與這些有共同屬性（如同一行業(yè)、同一業(yè)務需求等）的已知客戶共 享資源，安全風險相對較小；私有云的云計算平臺為客戶獨享，由客戶或專門委托的云服務商 獨立管理和控制云計算平臺，安全性相對較高。b) 對云計算平臺管理技能的要求。若采用私有云、社區(qū)云，且云計算平臺由客戶承擔管理任務，則需要客戶具備專業(yè)的技術人才，對人員技能的要求遠比公有云高。c) 業(yè)務的可擴展性要求。公有云的資源由大量客戶共享，資源規(guī)模較大，客戶可以根據業(yè)務和資源使用情況隨時調整資源需求，可以充分擴展；社區(qū)云和私有云的靈活程度會受到具體的部署 場所和策略的影響?？蛻魬C合考慮以上問題，選擇適合的部署模式，使安全風險可控。 功能需求的穩(wěn)定性和通用性當客戶的業(yè)務功能需求不斷變化時，云服務商需要不斷開發(fā)、測試和部署新的組件。云計算的多客戶共享資源特點使得云計算平臺基于客戶的功能定制或變更較為困難。因此，為了提高應用規(guī)模和效益，云服務商通常愿意提供通用性較好、功能相對穩(wěn)定和成熟的服務。通用的功能需求有助于客戶參考成熟的應用案例，包括參考其部署、運行監(jiān)管、評估等最佳實踐，可提高效率并降低安全風險。另外，業(yè)務功能的通用性利于實現(xiàn)規(guī)模化所帶來的低成本效益。客戶應優(yōu)先將功能需求不經常發(fā)生變化的業(yè)務部署或遷移到云計算平臺，還要考慮是否已有成功的應用案例。 資源的動態(tài)需求特點有些業(yè)務具有臨時、周期性特點，如公務員招考等業(yè)務系統(tǒng)，可能會出現(xiàn)訪問和請求的突發(fā)高峰，要求可根據訪問需求動態(tài)分配資源。此類業(yè)務采用云計算服務，可以滿足動態(tài)、靈活的資源需求，且客戶 只需為業(yè)務系統(tǒng)所占用的資源支付使用費用?？蛻魬獌?yōu)先將對資源有動態(tài)、周期變化需求的業(yè)務部署或遷移到云計算平臺，可在滿足業(yè)務性能需求的前提下節(jié)省資金。 時延時延是指云計算環(huán)境處理某個請求的時間延遲，包括客戶請求消息傳輸到云計算環(huán)境和結果回傳 時間，以及云計算環(huán)境的處理時間。不同類型的應用對云計算服務的時延要求差異明顯，例如，電子郵 件通常容許出現(xiàn)短暫的服務中斷和較大的網絡時延，但自動化控制與實時應用一般都對時延要求較高?？蛻魬槍I(yè)務系統(tǒng)對響應速度方面的要求做詳盡分析，確定業(yè)務本身對時延的容忍度，以及可能采取的補救措施等。在將數據和業(yè)務部署或遷移到云計算平臺前，應考慮響應時間、海量數據傳輸性能 等指標要求。 業(yè)務持續(xù)性云計算服務是否會中斷、是否能持續(xù)訪問依賴于多方面因素，包括網絡、云計算平臺以及云服務商等。網絡依賴。云計算服務依賴于互聯(lián)網等網絡，客戶通過持續(xù)可用的網絡連接來獲取服務。網絡依賴意味著每個應用都是網絡應用，從客戶到云計算平臺的網絡復雜度通常高于客戶內部局域網。平臺依賴。盡管專業(yè)的云計算平臺具有較高的可靠性，但出于人為因素（如惡意攻擊或管理員的失 誤）、自然災害(如洪水、臺風、地震等）的原因，云計算平臺故障與服務中斷不可能完全避免。云服務商依賴。采用自有系統(tǒng)時，即使軟硬件供應商暫停技術支持、售后服務或停業(yè)，客戶可能不 會立即受到影響，可以繼續(xù)使用其產品。對于社會化云計算服務而言，客戶高度依賴云服務商提供的服務，云服務商倒閉、市場變化等主觀或客觀原因所造成的中斷或停止，會立即導致客戶所需服務的中斷 或停止。在采用云計算服務前，應對云計算服務的可靠性、持續(xù)性需求進行充分評估，應關注中斷頻率與預期恢復時間?？煽紤]如下措施：a) 客戶與云計算平臺之間的網絡鏈路采用多個網絡運營商的優(yōu)質鏈路，做到網絡鏈接冗余。b) 確定云服務商是否有異地數據中心實現(xiàn)數據與業(yè)務系統(tǒng)的異地備份，保障即使自然災害發(fā)生，也能對數據進行有效保護和恢復。c) 對云服務商的經營狀態(tài)進行定期檢查，發(fā)現(xiàn)異常及時處理。 可移植性與互操作性可移植性。移植是指將數據和業(yè)務系統(tǒng)從一個云服務商遷移到另一個云服務商的云計算平臺，或遷移回客戶的數據中心?？梢浦残匀Q于標準化的接口與數據格式?？梢浦残缘膶崿F(xiàn)難度與采用的云 計算服務模式有關，通常從IaaS、PaaS到SaaS可移植性的難度逐漸增加?；ゲ僮餍浴２渴鹪谠朴嬎闫脚_上的業(yè)務系統(tǒng)可能需要與其他系統(tǒng)進行數據交互，不同云計算平臺 間及與自有信息系統(tǒng)之間的數據交換與訪問目前還較為困難。同時，云服務商為了商業(yè)競爭的目的，對可移植性和互操作性支持一般不夠積極?？蛻魬贫▽祿蜆I(yè)務系統(tǒng)從某一云計算平臺遷移到其他云計算平臺或自有數據中心的計劃，充分考慮云計算服務與其他已有或將來的業(yè)務系統(tǒng)集成需求。 數據的存儲位置云服務商在數據中心選址時，為了節(jié)省建造、能源、雇員等成本，可能會將數據中心分布在不同的地區(qū)，甚至不同的國家。云計算服務的運行管理對客戶往往缺少透明性，客戶難以掌握數據和副本在存儲 設備和數據中心的具體位置。根據國家的有關規(guī)定，存儲、處理客戶數據的數據中心和云計算基礎設施不得設在境外。客戶在確 定采用云計算服務時，應禁止云服務商在境外存儲、處理客戶數據，不得由于客戶數據存儲位置的改變而改變其司法管轄權。 監(jiān)管能力傳統(tǒng)計算模式中，用戶直接控制、管理自己的數據和業(yè)務系統(tǒng)。在云計算平臺中，客戶的數據及運 行過程中生成、獲取的數據都在云服務商的直接控制下，客戶沒有直接的控制權?？蛻粜枰ㄟ^監(jiān)管了 解和掌握自身數據和業(yè)務系統(tǒng)在云計算平臺上的狀態(tài)，了解云計算平臺是否提供了足夠的安全防護措施滿足安全需求?？蛻魬ㄟ^合同明確云服務商的責任和義務，強調客戶對數據和業(yè)務系統(tǒng)運行狀態(tài)的知情權；要求 云計算平臺提供必要的監(jiān)管接口和日志査詢功能，建立有效的審査、檢查機制，實現(xiàn)對云計算服務的有 效監(jiān)管。 形成決策報告完成對信息和業(yè)務的綜合分析后，需要形成采用云計算服務的決策報告，經本單位最高領導批準后 成為指導采用云計算服務的重要依據。報告應包括但不限于以下內容：a) 背景描述。描述擬采用云計算服務的信息和業(yè)務；b) 效益分析。從場地、人員、設備、軟件、運行管理、維護升級、能耗等方面，對采用本地